WhatsApp torna al centro dell’attenzione, e non per nuove funzionalità o aggiornamenti entusiasmanti, ma per due gravi criticità che stanno sollevando l’allarme tra utenti, esperti e autorità. Da un lato, Meta è stata denunciata in Italia per l’introduzione forzata dell’assistente Meta AI all’interno dell’app; dall’altro, una recente analisi ha messo in luce una vulnerabilità sistemica nella gestione dei gruppi, che potrebbe minare la sicurezza stessa della piattaforma.
Meta AI in WhatsApp: Codacons porta Meta davanti all’Antitrust e al Garante
Il primo fronte critico riguarda l’integrazione, avvenuta senza alcun consenso esplicito, della funzione Meta AI nell’interfaccia di WhatsApp. L’assistente virtuale basato sull’intelligenza artificiale compare automaticamente nella barra di ricerca dell’app e non può essere rimosso completamente. Secondo Codacons, si tratta di una violazione del Regolamento europeo GDPR, in particolare degli articoli 5 e 6, che regolano i principi di liceità, trasparenza e consenso nel trattamento dei dati personali.
L’associazione ha quindi inoltrato un esposto congiunto all’Autorità Garante per la Concorrenza e il Mercato (Antitrust) e al Garante per la Privacy, chiedendo l’immediata sospensione della funzione in Italia e nell’Unione Europea. Il motivo? L’impossibilità per l’utente di decidere se attivare o meno l’AI, e la mancanza di una base giuridica per il trattamento dei dati che essa comporta. Codacons ha inoltre denunciato quella che ritiene una pratica commerciale scorretta: presentare come “miglioramento” del servizio una funzione invasiva e non opzionale, che in realtà sembra progettata per fidelizzare gli utenti e aumentare la raccolta di dati attraverso meccanismi persuasivi.
Falla nei gruppi WhatsApp: aggiunte non autorizzate ancora possibili
Parallelamente, un gruppo di esperti in crittografia ha sollevato l’attenzione su una debolezza nella gestione dei gruppi WhatsApp: nonostante la crittografia end-to-end protegga i messaggi, l’aggiunta di nuovi membri ai gruppi non è soggetta allo stesso livello di controllo crittografico. Il nodo cruciale sta nel fatto che il server, gestito da Meta, può teoricamente aggiungere membri senza che questi siano stati autorizzati dagli amministratori. Questo scenario potrebbe diventare problematico in contesti sensibili come gruppi governativi o di sicurezza, dove l’aggiunta di un partecipante non autorizzato potrebbe compromettere informazioni riservate.
Secondo il professor Martin R. Albrecht del King’s College di Londra, il rischio è sistemico e non teorico: se un attore con accesso ai server di WhatsApp volesse – o riuscisse – ad agire, potrebbe farlo senza lasciare tracce rilevabili. A differenza di Signal, che utilizza firme digitali e una chiave privata inaccessibile anche al server per ogni modifica nei gruppi, WhatsApp si limita a notificare l’aggiunta di nuovi membri, lasciando però scoperta la dinamica di autorizzazione vera e propria.